Neues zum Datenschutzrecht
5.11.2019
Bußgeld in Höhe von 14,5 Mio. Euro gegen Wohnungsgesellschaft
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (LfDI Berlin) hat Ende Oktober wegen fehlender Löschmöglichkeit bei der Datenarchivierung einen erwähnenswerten Bußgeldbescheid in Höhe von 14,5 Mio. Euro erlassen. Darüber hinaus wurden laut Pressemitteilung der LfDI Berlin weitere Bußgelder in Höhe von 6.000 bis 17.000 Euro wegen der unzulässigen Speicherung von Daten in 15 konkreten Einzelfällen verhängt. Adressat war die Deutsche Wohnen SE, eine Wohnungsgesellschaft.
Hintergrund
Die LfDI Berlin hatte bei Vor-Ort-Prüfungen in den Jahren 2017 und 2019 festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig und insbesondere erforderlich ist. In konkret geprüften Einzelfällen waren teilweise mehrere Jahre alte private Angaben betroffener Mieter gespeichert, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen, wie z.B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.
Dem Unternehmen gelang es trotz dringender Empfehlung der LfDI Berlin nicht, innerhalb von eineinhalb Jahren nach dem ersten Prüftermin und neun Monate nach dem „DSGVO-Start“ am 25.5.2018 die Daten zu bereinigen. Es waren lediglich Vorbereitungen zur Beseitigung der monierten Archivierung getroffen worden.
Die Aufsicht verhängte das Bußgeld wegen des Datenschutzverstoßes für den Zeitraum vom 25. Mai 2018 bis März 2019.
Hinweise für die Praxis
Der Fall zeigt, dass die deutschen Aufsichtsbehörden „Ernst machen“ und Verstöße gegen die Vorgaben zur Speicherung und Löschung von Daten streng ahnden. Die Thematik „Speicherdauer und Löschung“ sollte in Unternehmen idealerweise zumindest im Rahmen der Maßnahmen zur DSGVO-Umsetzung bereits angegangen und abgearbeitet worden sein. Falls dies noch nicht oder noch nicht vollständig geschehen ist, wird es höchste Zeit. Denn die Dauer einer unzulässigen Speicherung wirkt auch erschwerend bei der Bemessung eines Bußgeldes.
Der aktuelle Fall zeigt außerdem, dass es – anders als häufig in der Vergangenheit – nicht mehr reicht, wenn innerhalb eines Zeitraums von eineinhalb Jahren lediglich Vorbereitungen zur Beseitigung eines von der Aufsicht bemängelten Gesetzesverstoßes ergriffen werden. Das mag aus Unternehmenssicht durchaus fraglich sein, da gegebenenfalls ganze IT-Systeme geändert oder ersetzt werden müssen, was viel Zeit in Anspruch nehmen kann. In diesem Fall sind – möglicherweise ebenfalls aufwendige – Workarounds gefragt, um den Gesetzesverstoß zu beseitigen.
Schließlich ist die Höhe des Bußgelds bemerkenswert, weil diese Beträge in Deutschland bislang nicht im Raum standen. Allerdings ist es keine wirklich große Überraschung, da seit dem 25.5.2018 die DSGVO den entsprechenden rechtlichen Rahmen bietet und vorsieht, dass in diesem Rahmen. wirksame, angemessene und abschreckende Geldbußen verhängt werden müssen (Art. 83 Abs. 1 DSGVO).
Es bleibt abzuwarten, wie einheitlich die Bemessung der Bußgelder in Zukunft erfolgt. Die deutschen Aufsichtsbehörden werden sich in jedem Fall ihres neuen Konzepts zur Berechnung von Bußgeldern bedienen.
Sollten Sie Fragen zu datenschutzaufsichtsbehördlichen Prüfungen, zur Verhängung von Bußgeldern oder sonstigen datenschutzrechtlichen Themen wie die Speicherdauer und Löschung von Daten haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht